10 уязвимостей в ваших данных: методы взлома
DESCRIPTION
Андрей Масалович, известный эксперт по информационной безопасности – о 10 приемах, с помощью которых можно воспользоваться уязвимостью интернет-ресурсов.TRANSCRIPT
10 уязвимостей в ваших данных: методы взлома
Андрей Масалович1 ноября 2013
ведущий:
Определение конкурентной разведки (КР)
Конкурентная разведка (англ. Competitive Intelligence, сокр. CI) — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа)
Конкурентная разведка – это информационное обеспечение победы над конкурентами
«Я просто не люблю неожиданностей»
Взломать за 60 секунд: Шаг 1«Для служебного пользования»
Взломать за 60 секунд: Шаг 2«Конфиденциально, Confidential»
Взломать за 60 секунд: Шаг 3«Секретно»
Взломать за 60 секунд: Шаг 4Запрос в Google filetype:xls
Взломать за 60 секунд: Шаг 5Запрос в Google filetype:doc
Взломать за 60 секунд: Шаг 6Запрос в Google site:xxx.ru ftp
Взломать за 60 секунд: Шаг 7Запрос в Google “xxx.ru:21”
Обращение к порту 21 – часто встречается вместе с ftp-паролем
Взломать за 60 секунд: Шаг 8ftp://ftp.xxx.ru
Cайт - https://www1.nga.mil/Pages/default.aspxОткрытый ftp – ftp.nga.mil
Взломать за 60 секунд: Шаг 9Запрос в Google Index of
Index of в заголовке – признак открытой папки в Apache
Взломать за 60 секунд: Шаг 10Угадываемые имена
Пусть нам доступен документ Петагона -http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?pubID=1174
Тогда нам также доступны тысячи документов -http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?pubID=1173 и т.д.
11. Источник утечек – партнер по маркетингу
Пример – сотовый оператор Актив – идеи будущих тарифов
Ареал распространения информации: партнер по маркетингу
Находим ftp компании, проверяем утечки паролей
12. Источник утечек - разработчик
Пример – транспортная инфраструктура великой страны
Проверяем ссылки на ftp
Переходим по ссылке на ftp…
Не пытайтесь повторить это дома
13. Источник утечек - форумы
14. Источник утечек - переезд
Пример: Совет национальной безопасности Грузии
Пример: МВД Украины
15. Источник утечек – слияние и поглощение
16. Источник утечек - mediacache
В файле robots.txt перечислены папки, запрещенные для поисковых роботов
Тем не менее, Google их индексирует...
Портал финансовой компании, третья минута аудита …
17. Источник утечек - руководство Материалы конференции Тихоокеанской
группировки армии США – гриф Classified Материалы конференции Тихоокеанской
группировки армии США – гриф Classified
18. Источник утечек – средства удаленного обучения
19. Источник утечек – средства совместной разработки
20. Источник утечек – средства коллективного хранения
1.1 Конкурентная разведка. Понятия, принципы, виды. Разведка тактического, оперативного, стратегического уровня.
I. Конкурентная разведка и стратегическая аналитика. Общие принципы.
Структура системы раннего предупреждения и оперативного реагирования
Три пути интернет-разведки…
Ежедневная рутина
Оперативная работа
Стратегическое развитие
Ежедневные рутинные задачи
Справка на компанию, Справка на персону Выявление признаков
мошенничества, банкротства, финансовой неустойчивости, сомнительных связей
и т.п. Горизонт - неделя
Завал работы, низкая зарплата, нет возможности развиваться
Оперативная интернет-разведка
Текущие угрозы Текущие риски Утечки данных Новые возможности
Нужны методики Нужен мониторинг Нужна база досье Горизонт - квартал
Правильно построим работу - будут результаты и перспективы
Стратегическая разведка
Защита бизнеса Защита репутации Формирование образа Лидерство в отрасли Лидерство в регионе Обеспечение устойчивого развития Горизонт - годыВысокая квалификация, ответственность и оплата. Автономность.
1.2 Построение системы ситуационной осведомленности руководства
I. Конкурентная разведка и стратегическая аналитика. Общие принципы.
Пример мониторинга в энергетике
Пример мониторинга в телекоммуникациях
Пример мониторинга ситуации в регионе
1.3 Интернет и массовые ресурсы как среда конкурентной разведки
I. Конкурентная разведка и стратегическая аналитика. Общие принципы.
Каждый из нас думает, что видел Интернет… Лучшие из поисковиков индексируют до 8
млрд. страниц в сутки Объем Интернета сейчас оценивается более
чем в 1000 млрд. страниц «Видимый Интернет» – узкая полоска
настоящего Интернета, в котором содержатся залежи полезной информации
Давайте сделаем шаг в глубинный Интернет…
Каждый из нас думает, что видел море…
Море – это стихия, с которой многие из нас не сталкивались…
С какого шага расходятся пути…
Интернет – это не волшебный бесплатный трамвай, Интернет – это мощное оружие
Интернет – это не мириады документов, Интернет – это малое количество источников оперативно-значимой информации и угроз
Мониторинг вместо разового поиска Пять вопросов поиска:
Зачем? Что? Где? Когда? Как? Все результаты – не в справку, а в досье
Пример: получить начальную информацию о В.В. Жириновском
Обычный поиск в Google
Более эффективный запрос site:izbirkom.ru filetype:xls Жириновский Воронеж
Поиск идентификационных данных объекта интереса
Обычный запрос
Более эффективный запрос
Фамилия Имя filetype:xls
Какая интересная таблица…
Какой интересный ресурс…
Шаг, который меняет жизнь…
site:slivmail.com filetype:xls На хакерском сайте более 5000
ценных документов
1.4 Принципы мониторинга активности конкурентов, новых технологий, рыночной среды
I. Конкурентная разведка и стратегическая аналитика. Общие принципы.
Такой разный Интернет…
Интернет – более 900 млрд страниц Электронные СМИ и новости –
10000-12000 источников Источники оперативно-значимой
информации – не более 500 Источники угроз – не более 50 «Невидимый Интернет» «Информационный кокон»
Мониторинг репутации…
Как провести грамотный мониторинг репутации компании?
Какие источники считать наиболее подходящими для получения информации?
Как оценить данную информацию и на основании каких показателей?
Как обнаружить угрозу репутации компании и оперативно на нее среагировать?
Как сделать, чтобы «шкалу репутации» или «светофор угроз» можно было видеть визуально в заданные промежутки времени?
Мониторинг угроз бизнесу, репутации и устойчивому развитию
Простейшая шкала – частота упоминаний в пульсе блогосферы
2.1 Организация первичного сбора информации – о компании, персоне, объекте, событии, технологии и др.
II. Организационные аспекты. Как создать эффективную структуру КР в организации
Что делать со 152 ФЗ? Используем утечки...
Источник утечек - избиркомы
Источник утечек – муниципальные структуры
Список молодых семей
Источник утечек - ВУЗы
Источник утечек - ипотека
Источник утечек – базы резюме
Источник утечек - автосалоны
Источник утечек - форумы
Сервер финансовой компании.Источник утечек - mediacache
Сервер крупного банка. Открыта папка «СБ»,
в ней – ксерокопии паспортов сотрудников
Персональные данные – это не только паспорт и прописка
Факсимиле подписи – болезненная утечка
Еще одна проблема – искажение персональных данных
Портал Президента России 7 мая 2008, 15:00
Источник утечек – социальные сети
2.2 Организация интернет-мониторинга.
II. Организационные аспекты. Как создать эффективную структуру КР в организации
Философия конкурентной разведки:
Не используем затратные методы Не используем трудоемкие методы Не нарушаем закон Не нарушаем этических норм Не оставляем следов
Основа деятельности – статья 29, ч.4 Конституции РФ
Статья 29 4. Каждый имеет право свободно
искать, получать, передавать, производить и распространять информацию любым законным способом.
Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
Интернет: традиционный взгляд
Открытый Интернет Защищенные ресурсы
Интернет: сфера конкурентной разведки
СсылкиПоисковики
Базы
Расширенный поискНевидимые страницы
Другие поисковикиВременный доступ
Открытые папки
Сфера конкурентной разведки
Открытые FTP
Уязвимости защитыУтечки «секретно»
Утечки «Сов.секретно»Утечки паролей
Утечки ДСП Пиратские базы
Старые и новые версии
Область применения проникающих роботов
А также:• Утечки партнеров• Социальные сети• Блоги, форумы• Сайты компромата
• RSS-потоки• Коллективное хранение• Удаленное обучение• Страницы аналитиков
И многое, многое другое...
4 простых метода нахождения открытых папок
1. Отсечение 2. Index of 3. Брутфорс стандартных имен 4. Удлинение адреса Мониторинг вместо поиска
Простые методы поиска открытых разделов на ftp
По адресу: ftp://ftp.tribobra.ru По ftp в адресной строке - Google Спец. Поисковики – FileWatcher По использованию порта 21: ftp://логин:пароль@ftp.tribobra.ru:21
Avalanche Online – малобюджетная система для конкурентной разведки
Адрес: http:avalancheonline.ru Стоимость: 4950 рублей в месяц Для фирм: плюс 17 тыс. за сервер
Пример досье на персону
Пример: Связи объекта
Тестовый доступ к Avalanche Online на 2 недели
Адрес: http:avalancheonline.ru Логин: seminar Пароль: seminar Проект: Новости Билайн Срок: на 2 недели Контакт:[email protected]
Конкурентная разведка и HR – Hrazvedka.ru
